ブロードバンド ケーブル : データオーバーケーブル サービス インターフェイス仕様(DOCSIS)

Cisco CMTS での DOCSIS 1.0 ベースライン プライバシ

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2003 年 8 月 29 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

データオーバーケーブル サービス インターフェイス仕様(DOCSIS)ベースライン プライバシー インターフェイス(BPI)の主要な目的は、Data over Cable ネットワークでケーブル モデムを介して送受信されるデータを保護する簡単なデータ暗号化スキームを提供することです。 ベースライン プライバシは、ケーブル モデムの認証、およびマルチキャスト トラフィックのケーブル モデムへの伝送の承認の手段としても使うことができます。

Ciscoケーブルモデム 終了 システム(CMTS)および Cisco IOS を実行するケーブルモデム 製品か。 文字 "k1" or"k8" サポート ベースラインプライバシーを含む機能セットのソフトウェア イメージ、たとえば ubr7200-k1p-mz.121-6.EC1.bin。

この文書では、DOCSIS1.0 モードで動作するシスコ製品でのベースライン プライバシを取り上げます。

はじめに

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

前提条件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

この文書に記載されている情報は Cisco IOS を実行する uBR7246VXR の設定に基づいていますか。 ソフトウェア リリース 12.1(6)EC、しかしそれはまた他のすべての Cisco CMTS に製品およびソフトウェア リリースを加えます。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

ケーブル モデムのためのベースライン プライバシの設定方法

ケーブル モデムは、DOCSIS 設定ファイルでサービス パラメータの Class 経由でベースライン プライバシを使うように命令された場合にのみ、これを試みます。 DOCSISコンフィギュレーションファイルはモデムのための操作パラメータが含まれ、TFTP を通って来るオンラインのプロセスの一部としてダウンロードされます。

DOCSISコンフィギュレーションファイルの作成の 1 方式は Cisco.com の DOCSISケーブルモデム コンフィグレータを使用することです。 DOCSIS Cable Modem Configurator を使って、DOCSIS 設定ファイルを作成できます。このファイルでは Class of Service タブにある Baseline Privacy Enable フィールドを On にすることにより、ベースライン プライバシを使うようにケーブル モデムに命令します。 下記の例を参照して下さい:

/image/gif/paws/12198/docsis_bpi1.jpg

また、下記に示されているようにベースラインプライバシーを有効に するのに使用することができますからの DOCSISファイル 設定の独立型が:

/image/gif/paws/12198/docsis_bpi2.jpg

BPI をサポートする DOCSIS 設定ファイルが作成されると、新しい設定ファイルをダウンロードしてベースライン プライバシを適用するために、ケーブル モデムをリセットする必要があります。

ケーブル モデムがベースライン プライバシを使っているかどうかを識別する方法

Cisco CMTS では、show cable modem コマンドを使って個々のケーブル モデムの状態を表示できます。 ベースライン プライバシを使っているモデムが示す状態には次のものがあります。

online

ケーブルモデムの後でオンライン状態を入力する Cisco CMTS と登録します。 ケーブルモデムは Cisco CMTS とベースラインプライバシー パラメータをネゴシエートできる前にこの状態に到達する必要があります。 この時点では、ケーブル モデムと CMTS 間を伝送されるトラフィックは暗号化されていません。 ケーブル モデムがこの状態のままで、次に述べるどの状態にも遷移していなければ、そのモデムはベースライン プライバシを利用していません。

online(pk)

online(pk) 状態はケーブルモデムがずっと Authorization Key をネゴシエートできることを Cisco CMTS の Key Encryption Key (KEK)としてさもなければ知られていて意味します。 このことは、ケーブル モデムがベースライン プライバシの使用を承認されており、ベースライン プライバシの第 1 フェーズのネゴシエーションに成功したことを意味します。 それに続くベースラインプライバシー ネゴシエーションを保護するのに使用される KEK が 56 ビット キーです。 モデムがケーブルモデムと Cisco CMTS の間で送信 される online(pk) 状態 データトラフィックにあるときデータトラフィックの暗号化のために No 鍵まだネゴシエートされているようにまだ非暗号化です。 通常、online(pk)は online(pt)でに先行しています。

reject(pk)

この状態は、ケーブル モデムが KEK へのネゴシエートを試みて失敗したことを示しています。 モデムがこの状態にあるというもっとも一般的な原因は Cisco CMTS につくモデム 認証があるモデム持っています失敗した認証をことであり。

online(pt)

この時点でモデムは Cisco CMTS とトラフィック暗号化キー (TEK)をうまくネゴシエートしました。 TEK がケーブルモデムと Cisco CMTS 間のデータトラフィックを暗号化するのに使用されています。 TEK ネゴシエーションの手順は KEK を使って暗号化されます。 ケーブルモデムと Cisco CMTS 間のデータトラフィックを暗号化するのに使用される TEK が 56 か 40 ビット キーです。 この時点でベースラインプライバシーはでうまく確立されておよび動作します、従って Cisco CMTS とケーブルモデムの間で送信 される ユーザのデータは暗号化されています。

reject(pt)

この状態はケーブルモデムが Cisco CMTS と TEK をうまくネゴシエートすることができなかったことを示します。

ベースライン プライバシ関連の、さまざまな状態にあるケーブル モデムを表示する show cable modem コマンドの出力例は、次をご覧ください。

/image/gif/paws/12198/docsis_bpi3.gif

ケーブル モデムの状態に関する詳細は uBR Cable Modems がオンラインにならない場合のトラブルシューティング を参照してください。

ベースライン プライバシの確立と維持に影響するタイマー

特定のタイムアウト値があり、これらを変更してベースライン プライバシの動作を変えることができます。 いくつかのこれらのパラメータは Cisco CMTS および DOCSISコンフィギュレーションファイルを通って他で設定されるかもしれません。 KEK ライフタイムおよび TEK ライフタイムを除いてのこれらのパラメータ変更する少し原因があります。 これらのタイマーを変更すると、ケーブル プラントのセキュリティを向上させたり、BPI 管理による CPU とトラフィックのオーバーヘッドを削減することができます。

KEK ライフタイム

KEK ライフタイムはケーブルモデムおよび Cisco CMTS が有効のネゴシエートされた KEK と考慮する必要がある時間数です。 この時間数が渡った前に、ケーブルモデムは Cisco CMTS の新しい KEK を再取り決めする必要があります。

Cisco CMTS cable interface コマンドを使用して今回を設定できます:

cable privacy kek life-time 300-6048000 seconds

デフォルトの設定は 604800 秒で 7 日間に相当します。

KEK lifetime を少なくすることによりセキュリティが向上します。つまり、それぞれの KEK の存続時間がより短くなることによって、もし KEK がハッキングされても、TEK ネゴシエーションが乗っ取られる可能性が少なくなるからです。 これの問題点は、KEK の再ネゴシエーションがケーブル モデムの CPU 使用率を増加させ、ケーブル プラントの BPI 管理トラフィックを増加させることです。

KEK 猶予時間

KEK 猶予時間は KEK ライフタイムが切れる前に時間数、ケーブルモデムが新しい KEK のための Cisco CMTS とネゴシエートし始めるように意味されるそれです。 このタイマーの目的は、ケーブル モデムに、KEK が満了する前にそれを更新させる充分な時間を与えることです。

Cisco CMTS cable interface コマンドを使用して今回を設定できます:

cable privacy kek grace-time 60-1800 seconds

この時間は、DOCSIS 設定ファイルの Baseline Privacy タブにある Authorization Grace Timeout と表示されたフィールドに記入することによっても設定できます。 この DOCSISコンフィギュレーションファイル フィールドが記入されれば Cisco CMTS で設定される値に優先します。 このタイマーのデフォルト値は 600 秒で、10 分に相当します。

TEK ライフタイム

TEK ライフタイムはケーブルモデムおよび Cisco CMTS が有効のネゴシエートされた TEK と考慮する必要がある時間数です。 この時間数が渡った前に、ケーブルモデムは Cisco CMTS の新しい TEK を再取り決めする必要があります。

Cisco CMTS cable interface コマンドを使用して今回を設定できます:

cable privacy tek life-time <180-604800 seconds>

デフォルトの設定は 43200 秒で 12 時間に相当します。

TEK lifetime を少なくすることによりセキュリティが向上します。つまり、それぞれの TEK の存続時間がより短くなることによって、もし TEK がハッキングされても、未認証の解読にさらされるデータが少なくなるからです。 これの問題点は、TEK の再ネゴシエーションがケーブル モデムの CPU 使用率を増加させ、ケーブル プラントの BPI 管理トラフィックを増加させることです。

TEK 猶予期間

Tek 猶予期間はケーブルモデムは新しい TEK のための Cisco CMTS とネゴシエートし始めるように意味されること TEK ライフタイムが切れる前に時間数です。 このタイマーの目的は、ケーブル モデムに、TEK が満了する前にそれを更新する充分な時間を与えることです。

Cisco CMTS cable interface コマンドを使用して今回を設定できます:

cable privacy tek grace-time 60-1800 seconds

この時間は、DOCSIS 設定ファイルの Baseline Privacy タブにある TEK Grace Timeout と表示されたフィールドに記入することによっても設定できます。 この DOCSISコンフィギュレーションファイル フィールドが記入されれば Cisco CMTS で設定される値に優先します。

このタイマーのデフォルト値は 600 秒で、10 分に相当します。

Authorize Wait Timeout

今回はケーブルモデムが KEK をはじめてネゴシエートするとき Cisco CMTS からの応答を待っている時間数を支配します。

この時間は、DOCSIS 設定ファイルの Baseline Privacy タブにある Authorize Wait Timeout フィールドを修正することにより設定できます。

このフィールドのデフォルト値は 10 秒で、有効な範囲は 2 秒から 30 秒です。

Reauthorize Wait Timeout

今回はケーブルモデムが KEK ライフタイムが切れることを約あるので新しい KEK をネゴシエートするとき Cisco CMTS からの応答を待っている時間数を支配します。

この時間は、DOCSIS 設定ファイルの Baseline Privacy タブにある Reauthorize Wait Timeout フィールドを修正することにより設定できます。

このタイマーのデフォルト値は 10 秒で、有効な範囲は 2 秒から 30 秒です。

許可猶予タイムアウト

再認証に使える猶予期間を秒単位で指定します。 デフォルト値は 600 です。 有効範囲は 1 から 1800 秒です。

Authorize Reject Wait Timeout

ケーブルモデムが Cisco CMTS と KEK をネゴシエートすることを試みるが拒否されれば、新しい KEK をネゴシエートすることを再試行する前に Authorize Reject Wait Timeout を待つ必要があります。

Baseline Privacy タブの下で Authorize Reject Wait Timeout フィールドの使用によって DOCSISコンフィギュレーションファイルのこのパラメータを設定できます。 このタイマーのデフォルト値は 60 秒で、有効な範囲は 10 秒から 600 秒です。

Operational Wait Timeout

今回はケーブルモデムが TEK をはじめてネゴシエートするとき Cisco CMTS からの応答を待っている時間数を支配します。

この時間は、DOCSIS 設定ファイルの Baseline Privacy タブにある Operational Wait Timeout フィールドを修正することにより設定できます。

このフィールドのデフォルト値は 1 秒で、有効な範囲は 1 秒から 10 秒です。

Rekey Wait Timeout

今回はケーブルモデムが TEK ライフタイムが切れることを約あるので新しい TEK をネゴシエートするとき Cisco CMTS からの応答を待っている時間数を支配します。

この時間は、DOCSIS 設定ファイルの Baseline Privacy タブにある Rekey Wait Timeout フィールドを修正することにより設定できます。

このタイマーのデフォルト値は 1 秒で、有効な範囲は 1 秒から 10 秒です。

Cisco CMTS ベースライン プライバシ設定コマンド

次のケーブル インターフェイス コマンドを使って、Cisco CMTS 上でベースライン プライバシとそれに関連する機能を設定できます。

cable privacy

cable privacy コマンドは特定のインターフェイスでベースライン プライバシのネゴシエーションを可能にします。 no cable privacy コマンドがケーブルインターフェイスで設定される場合、ケーブルモデムは時そのインターフェイスの来るオンライン ベースラインプライバシーをネゴシエートすることができません。 ベースラインプライバシーを使用するためにケーブルモデムが DOCSISコンフィギュレーションファイルによって命じられ、Cisco CMTS がそれがベースラインプライバシーをネゴシエートするように拒否したら場合ベースラインプライバシーをディセーブルにした場合ので注意して下さいモデムはオンラインに残れますかもしれません。

cable privacy mandatory

cable privacy mandatory コマンドが設定され、ケーブルモデムに DOCSISコンフィギュレーションファイルで有効に なる ベースラインプライバシーがあれば、ケーブルモデムはうまくネゴシエートする必要があり、使用 ベースラインプライバシー他ではオンラインに残ることができません。

ベースラインプライバシーを使用するようにケーブルモデムの DOCSISコンフィギュレーションファイルがモデムに指示しなければ cable privacy mandatory コマンドは残りのオンラインからモデムを停止しません。

cable privacy mandatory コマンドはデフォルトで有効に なりません。

cable privacy authenticate-modem

ベースライン プライバシに関係するモデムのために認証フォームの実行ができます。 ケーブルモデムが Cisco CMTS と KEK をネゴシエートするとき、モデムは Cisco CMTS への 6 バイト MAC アドレスおよびシリアル番号の詳細を送信します。 これらのパラメータは username/password の組合せでケーブル モデムの認証のために使用できます。 Cisco CMTS では、これを行うために、Cisco IOS Authentication と Authorization and Accounting(AAA)サービスを使います。 認証に失敗したケーブル モデムはオンライン状態になれません。 さらに、ベースライン プライバシを使わないケーブル モデムでは、このコマンドによる影響はありません。

注意 注意: この機能が AAA サービスを利用するのでさもなければ不注意に Cisco CMTS にログイン し、管理する機能を失うことができることを AAA設定を修正した場合注意することを確かめる必要があります。

次にモデム認証を行う設定例を示します。 これらの設定例では、いくつかのモデムが 1 つの認証データベースに入っています。 モデムの 6 オクテット MAC アドレスが、username となり、可変長のシリアル番号が password となります。 1 つのモデムは明らかに誤ったシリアル番号で設定されている点に注意してください。

次の部分的なサンプル Cisco CMTS 設定はローカル認証 データベースをいくつかのケーブルモデムを認証するのに使用します。

aaa new-model

aaa authentication login cmts local

aaa authentication login default line

!

username 009096073831 password 0 009096073831

username 0050734eb419 password 0 FAA0317Q06Q

username 000196594447 password 0 **BAD NUMBER**

username 002040015370 password 0 03410390200001835252

!

interface Cable 3/0

 cable privacy authenticate-modem

!

line vty 0 4

 password cisco

モデム認証の別の例は、外部 RADIUS サーバを使うものです。 外部 の RADIUSサーバをモデムを認証するのに使用する部分的な Cisco CMTS 設定例はここにあります

aaa new-model

aaa authentication login default line

aaa authentication login cmts group radius

!

interface Cable 3/0

 cable privacy authenticate-modem

!

radius-server host 172.17.110.132 key cisco

!

line vty 0 4

 password cisco

同等の情報のサンプル RADIUSユーザ データベース ファイルはローカル認証を使用した上述の例に下記にあります。 ユーザ ファイルはユーザ認証 情報が保存されるデータベースとしていくつかの商業およびフリーウェア RADIUSサーバによって利用されます。

# Sample RADIUS server users file.

 

# Joe Blogg's Cable Modem

009096073831 Password = "009096073831"

             Service-Type = Framed

 

# Jane Smith's Cable Modem



0050734EB419 Password = "FAA0317Q06Q"



             Service-Type = Framed 

 

# John Brown's Cable Modem

000196594477 Password = "**BAD NUMBER**"

             Service-Type = Framed

 

# Jim Black's Cable Modem

002040015370 Password = "03410390200001835252"



             Service-Type = Framed

上のコンフィギュレーション例のどちらかを利用するかどれが Cisco CMTS で実行される show cable modem コマンドの出力は下記に示されています。 ベースライン プライバシを有効にしたモデムのうち、ローカル認証データベースに挙がっていないモデム、あるいは、誤ったシリアル番号が付いているモデムは reject(pk) 状態に入り、online には留まらないことがわかります。

/image/gif/paws/12198/docsis_bpi4.gif

SID 17 のモデムはベースラインプライバシーを使用するために DOCSISコンフィギュレーションファイルがそれを命じなかったので認証データベースのエントリを備えませんが、来られますオンライン。

SID 18、21、22 のモデムは、認証データベースに正しいエントリがあるのでオンラインになることができます。

SID 19 のモデムは、ベースライン プライバシを使うように指示されていますが、このモデムに対するエントリが認証データベースにないので、オンラインになることはできません。 このモデムは、最近、認証に失敗したことを示す reject(pk)状態になっているはずです。

SID 20 のモデムはこのモデムの MAC アドレスの認証データベースにエントリがあるが、対応した シリアル番号が不正確であるので来ることがオンラインできません。 現在の時点では、このモデムは reject(pk)状態にありますが、すぐにオフライン状態に遷移します。

モデム失敗認証が Cisco CMTS ログに次の行に沿うメッセージ追加される時。

%UBR7200-5-UNAUTHSIDTIMEOUT: CMTS deleted    BPI unauthorized Cable Modem 0001.9659.4461

このケーブル モデムはステーション メンテナンス リストから削除され、30 秒以内にオフラインとマーク付けされます。 このモデムは、おそらく、もう一度オンラインになろうと試みますが、再度、拒否されることになります。

シスコでは、お客様が cable privacy authenticate-modem コマンドを使って、非承認ケーブル モデムがオンラインになるのを止めるのはお奨めしません。 不正 な 顧客がサービスプロバイダーのネットワークにアクセスを得ないようにする効率的方法はにネットワーク アクセス フィールドが設定されていると DOCSISコンフィギュレーションファイルをダウンロードするように不正 な ケーブルモデムが指示されることそのような物プロビジョニング システムを設定することです。 この方法では、モデムは、連続的に re-ranging することで貴重なアップストリームの帯域幅を浪費してしまうことがありません。 その代り、モデムはオンラインに到達します(d)モデムの背後にあるユーザはサービスプロバイダーのネットワークおよびモデムへのアクセスを認められないことを示す状態はステーションメンテナンスのためにだけアップストリーム 帯域幅を使います。

BPI の状態を監視するために使用されるコマンド

show interface cable X/0 privacy [kek | tek] CMTS インターフェイスの KEK か TEK を使う場合ように設定 しました関連付けられるタイマーを表示するのに—このコマンドが使用されています。

このコマンドの出力例は下記にあります。

CMTS# show interface cable 4/0 privacy kek

Configured KEK lifetime value = 604800

Configured KEK grace time value = 600

 

CMTS# show interface cable 4/0 privacy tek

Configured TEK lifetime value = 60480

Configured TEK grace time value = 600

show interface cable X/0 privacy statistic —この隠しコマンドが特定のケーブル インターフェイスのベースラインプライバシーを使用して SID の数の統計情報を表示するのに使用されるかもしれません。

このコマンドの出力例は下記にあります。

CMTS# show interface cable 4/0 privacy statistic



CM key Chain Count : 12

CM Unicast key Chain Count : 12

CM Mucast key Chain Count : 3

debug cable privacy —このコマンドはベースラインプライバシーのデバッグをアクティブにします。 このコマンドが起動される場合、ベースラインプライバシー状態またはベースラインプライバシー イベントの変更が発生する時はいつでも、詳細はコンソールで表示する。 このコマンドは debug cable interface cable X/0debug cable mac-address mac-address コマンドで先行されてとだけ動作します。

debug cable bpiatp —このコマンドはベースラインプライバシーのデバッグをアクティブにします。 このコマンドが起動される場合、ベースラインプライバシー メッセージが Cisco CMTS によって送信 されるか、または受け取られる時はいつでも、メッセージの 16 進法ダンプするは表示する。 このコマンドは debug cable interface cable X/0debug cable mac-address mac-address コマンドで先行されてとだけ動作します。

debug cable keyman —ベースラインプライバシー キー管理のこのコマンドによってアクティブにされるデバッグ。 このコマンドがアクティベートされると、ベースライン プライバシ キー管理の詳細が表示されます。

BPI のトラブルシューティング

ケーブル モデムが online(pt)ではなく、online のように見える。

モデムが online(pt)ではなく online 状態のように見える場合は、一般的には次の 3 つの状態のいずれかが考えられます。

可能性のある最初の原因は、そのケーブル モデムがベースライン プライバシを使うように指定した DOCSIS 設定ファイルを受け取っていないという点です。 DOCSIS 設定ファイルに、モデムに送られた Class of Service プロファイル中で有効にされた BPI があることをチェックします。

モデムが online 状態に見える次の理由として、そのモデムが BPI のネゴシエーションを始める前に待機状態にあることが考えられます。 1、2 分待って、そのモデムが online(pt)状態に遷移するのを確認します。

最後に考えられる理由は、そのモデムにベースライン プライバシをサポートするファームウェアが入っていない点です。 そのモデムのベンダーに、BPI をサポートする新しいバージョンのファームウェアについてお問い合わせください。

ケーブル モデムが reject(pk)状態に見え、その後、offline になる。

モデムが reject(pk)状態に入る原因として最初に考えられるのは、そのケーブル モデムの認証が cable privacy authenticate-modem で有効にされているが、AAA の設定が誤っている点です。 関連するモデムのシリアル番号と MAC アドレスが、認証データベースに正しく入力されており、すべての外部 RADIUS サーバが到達可能であり、作動中であることをチェックします。 ルータ デバッグ コマンドの debug aaa authentication と debug radius を使って、RADIUS サーバの状態や、モデムが認証に失敗している理由を調べられます。

ケーブル モデム接続のトラブルシューティングに関する一般的な情報は uBR Cable Modems がオンラインにならない場合のトラブルシューティング を参照してください。

特記事項 - 隠しコマンド

この文書中の隠しコマンドに関する参照情報は、情報を目的とする場合にのみ提供されています。 隠しコマンドは Cisco Technical Assistance Center (TAC)によってサポートされません。 さらに、隠しコマンドには次の制約があります。

  • 常に信頼に足る正確な情報を提供するとはかぎりません。

  • 実行により、予測できない副作用が発生する可能性があります。

  • Cisco IOSソフトウェアの異なるバージョンの同じように動作するよろしいです

  • Cisco IOSソフトウェアの将来のリリースからいつでも予告なしに取除かれるよろしいです


関連情報


Document ID: 12198